木马病毒及其安全防御

一般木马的通用功能：

1，记录你所输入的用户名和密码，从注册表中读取你最近访问的文件，上过的网址，和你所安装的软件。
2，更改你的用户数据添加其它管理员用户；开启你电脑上的服务，比如telnet，文件共享，以便更全面的获取你电脑中的信息。
3，还有些其它的功能，比如截取屏幕，终止某个系统进程，远程重起等等

木马的原理：

这种病毒为什么叫木马呢？取自一个故事，在希腊神话中：希腊军围攻一个叫特洛的城但久攻不下，后来侵略者让士兵躲在一个巨大的木马中，然后假装退兵，守城方以为得胜，把木马抬进城做为战利品。夜晚木马中的士兵出来打开了城门，特洛城被就攻破了。故事的取意就是从内部瓦解坚固的防御。我们的电脑就象个城池，外面的攻击手段比较难找到漏洞，除非从里面打开城门。我们所中木马原因一般多是运行了一些被加进木马代码的程序，或者接受了非信任站点的安全证书。换句话说就是我们自己运行了破坏电脑安全的程序。举个例子，比如我把QXmail下载下来，然后加上木马程序，放到其它地方供人下载，那所有下载这个QXmail的人在运行的时候就有可能被入侵。

木马在电脑里一般的存在形式：

在win9x里一般是把自己放在注册表的启动项里，并关联最常用的exe文件，在运行这些文件时自动“复活”，在winXP里面有的也是使用这种方法，但还有的是把自己作为一个系统的服务，电脑启动时作为服务加载。

防火墙怎样防御木马呢？

现在防火墙分两种，一种是网络防火墙，一种是病毒防火墙。
1，网络防火墙的原理是检查并拦截向外连接的程序，和阻止黑客软件对系统漏洞的扫描和攻击。如：当有程序连接网络时它就会给你发警报，问是否允许建立外部连接。而木马病毒所记录的用户密码，或者木马所开放的电脑服务都是需要经过这防火墙的允许才能发送数据。这样你就可以阻止它们了。防火墙会保护电脑的端口关闭，禁用所有可能有安全隐患的服务，这样就可以做到对黑客软件扫描和攻击的防御。（但不能杀除已种的木马和关闭打开的服务。但如果某些软件集成了些木马的功能，比如QQ，你允许它就很危险（主要是暴露自己的ip地址，很容易被锁定上网地点）。
2，病毒防火墙是在你运行程序前检查其中是否有木马或病毒的特征码，有的话阻止运行。病毒扫描也是这个原理。
我们应该怎么做？

安全建议：

1，少用QQ等国内软件
网上的安全证书非microsoft（windows自动更新）macromedia（flash安装）这样的正规网站的都不能安装
2，用xp 系统的话，把你的系统盘转为ntfs格式，命令：convert c:/fs:ntfs
再新建个管理员用户，把自己的用户组改为Power Users，home版的改自己为普通用户。平时使用电脑都用自己的用户，只有当安装确定软件或更改设定时才用管理员用户，方法：点鼠标右键，选运行为(Run as)，会有对话框提示输入用户名和密码。
如果自己用管理员用户，当运行怀疑有安全隐患的软件时使用如上方法的Gest组的用户来运行软件。
最后就是XP Professonal版的那个administrator用户一定要设密码。

推荐的防护软件：

病毒扫描用McAfee VirusScan 和卡巴斯基 还有就是微软的antispyware (关键还是自己注意安全下载)
防火墙 ZoneAlarm PRO（系统资源相对较少，稳定。可以不用更新也照样能一直起到好的防护作用。）

两个小工具：

一个是process explorer，检查你的系统进程，很好用。如果进程不认识的话，进程上点右键可以打开google搜索具体资料。
另一个是察看电脑打开的端口和连接，推荐对电脑熟悉的人用。

Tcpview.rar
文件描述:简单的网络连接察看工具
md5:f4ba1f23f7ce8a41359f901356f81aee
Tcpview清心下载
文件大小：41.48 KB

procexpnt.zip
文件描述：很好用的进程察看工具
md5:8f94a7734b4e1e69a11bc657bcc16a44
procexpnt清心下载
文件大小：258.37 KB

—————————
来源：未來中國論壇